внезапная проверка Шойгу военкомата

Безопасный почтовик сначала сделайте, блять, для госпочты.
Или через яндекс, мейл.ру и гугель перс.данные пересылать? А в дропбоксе хранить личные дела всех призывников. И главное пароли, пароли от всего этого на бумажках к монитору прилепленных держать!

> Сотрудники работали на принесенном из дома старье, поскольку служебный антиквариат конца 90-х иногда даже Ворд не тянул

Пф. ГИБДД всеволожского р-на ЛО. Все компы собраны в корпусах от компов 2004-го года с инвентарниками и серийниками. На балансе же! Начинка давно уже обновлена за собственные деньги сотрудниками ГИБДД. Ремонты - за свои деньги. Мониторы, клавы, мыши, флешки, картриджи - всё за свой счет.

> > Я про электронный почтовик. Типа вход по ЭЦП, подключение через VPN c ГОСТовым шифрованием, только с определенных IP,
>
> Что-то подобное обеспечивает "деловая почта" в комплексе Випнет.

ООО КОМРУНЕТ
Владелец: Петрушенко Ф.А.
Выручка за 2020: 120 миллионов
Прибыль за 2020: 0 миллионов

Очень! Очень надёжная контора! Можно доверить перс.данные и гос.тайны.

>
> > судебное удержание писем (когда их невозможно из ящика удалить никогда вообще),
>
> Если что - "format c:" поможет.

Локально. А на почтовом сервере? А на всех хранилках по правилу 3-2-1?

>
> > прикрученные системы идентификации нежелательной активности, штат технических специалистов, штат безопасников, которые будут смотреть логи систем безопасности и реагировать на события безопасности. СРК гарантирующее надёжное хранение и возможность восстановления данных. И вот это вот всё.
>
> Навангуешь ещё одно министерство. А зачем?
> Можно ведь просто пересылать шифрованные письма (хоть по ГОСТу). Всё равно на местах (в военкоматах) не обеспечен нужный уровень защиты.

Зачем министерство? Департамент внутри МО.
Кожугетовичу то невдомёк, а ему никто не рассказал, что просто поставить комп и обеспечить безопасную пересылку невозможно.
Если со стороны ИБ рассматривать вопрос то:
- рабочее место отдельное, доступ к рабочему месту ограничен.
- соблюдены минимальные требования: вход на ПК по паролю, установлен и обновляется антивирус, у пользователя нет прав.
- подключение по VPN с использование двухфакторной авторизации.
- никаких почтовых программ, установленных локально. Веб интерфейс.

Один из неплохих вариантов, которые я делал уже для пары контор: тонкий клиент, грузящийся по сети. VPN обеспечивает железка (под замком в опечатанном помещении). Бездисковая машинка. Машинка включается, грузит с железки стартовый образ, далее двухфакторная аутентификация и запускается VPN до ЦОД. Оттуда уже летит рабочий образ ОС, запускается без прав - чисто браузер до целевого ресурса. Хранение данных - в ЦОД. Обмен данными - в ЦОД. Загрузка сканов документов - с флешки и только в одну сторону, скачать ничего нельзя. Распечатать можно, но копия - кто что куда печатал - сохраняется в ЦОД.

> Сдать бесплатно - чудо. Ну и берут)

А разве сейчас все не централизованно на ш.Революции 85 сдают, что питерские, что областные?
Я не в курсе просто.

> А нахера оно тогда нужно?

Для расследований инцидентов, связанных с ИБ. Кто кому что отправлял.

> Значит, будет ещё одно министерство, этих же не разгонят.

Не будет. И почтовика не будет. Нихуя не будет, поставят какие-нибудь ПК для пасьянса косынки и будут Кожугетовичу эмулировать бурную деятельность.

> Это понятно, но не реализуемо, по причине бедности - нет возможностей держать отдельные железки для почты в нужном количестве. А так-то > есть уже немного: например, ССТУ с закрытым обменом (на випнете, да) - раз в год включаем, нормально работать тоже нельзя.
> Вот бы по вашей технологии полноценное офисное рабочее место разворачивалось - цены бы не было.

Это не моя технология. Это набор общедоступных технологий. Можно реализовать на дешевом оборудовании, фактически, можно и на коленке реализовать, с использованием древних компов и умелых линуксовых ручек. Есть даже почти готовые решения, которые можно пильнуть напильником. Я даже продумывал максимально дешёвый вариант реализации: ОС для тонких клиентов - WTWare с локальным Chromium вместо RDP (стоимость около 1000р за лицензию на рабочее место), сетевое оборудование - Mikrotik, технология второго фактора для микрота реализуема, статьи есть. В ЦОД - Zimbra OCS. Единственное, что не удастся прикрутить сюда - ЭЦП. А так вполне работает.

> Чтобы хранить нарастающий поток информации вечно - нужна бесконечная ёмкость хранилищ.

А у нас бесконечные размеры гос.архивов? Ты об них спотыкаешься и нет места на земле, где бы не лежали папки?
Одна кассета LTO8 заменяет пару комнат бумажного архива. 1 петабайт электронной почты за год - это активная переписка пары тысяч менеджеров с пересылками сканов и картинок (по моему опыту построения СРК). 1 петабайт на ленточках LTO8 занимает ящик стола. А LTO9 - две трети ящика. А на подходе новые стандарты и новые технологии хранения.
Всё рассчитывается, на всё уже придуманы технологии.
Я для тебя провел подсчет в калькуляторе: если ты ЕЖЕСЕКУНДНО в течение 1 года в рабочее время с 8 до 16 будешь пулять письмо в 1 мегабайт - то вся твоя почта за год займёт чуть более 7 терабайт. Всё это я забэкаплю. К счастью люди пишут гораздо реже, гораздо. И средний годовой архив от 20 до 30Гб у самых активных манагеров.

> Вместо требования от почтовика несвойственного функционала (с неудаляемым хранением) можно воспользоваться специализированным софтом, те же теневые копии заданного тобой информационного обмена будут храниться и ждать своего часа (даже без алярма). Опять-таки - насколько места хватит.

Бля, какой несвойственный функционал - в MS Exchange это штатная фича, во всех других системах энтерпрайз уровня есть аналоги.

> Если информация выводится на экран (а нахер нужна почта, которую нельзя прочитать?) - её можно похитить. Ты упёрся в сервер. Есть готовое решение. Диопост, хоть и хранит базу локально, но в зашифрованном виде, софт сертифицирован по КС1, КС2, КС3. Зачем изобретать велосипед?

А бэкапит её диопост тоже локально, по шедулеру, с проверкой, дедупом и компрессией? А проверяет консистентность бэкапов - местный приходящий админ за 2000 рублей? А реализует механизм 3-2-1 тоже диопост на локальном компе и флешке? Планы восстановления регулярно тестирует тоже диопост?

> Если ты госконтора - от этого не уйдёшь. Если у тебя секретка - от этого не уйдёшь. Если ты хочешь, чтобы твоими проблемами с конфи занимались всерьёз - от этого не уйдёшь. А вот если у тебя своё личное понимание ИБ и твоё руководство это устраивает - делай что хочешь.

Я, как архитектор ИТ-систем, прекрасно знаю - где и какие технологии уместно применять. Где надо ставим Cisco ASA, S-Terra, где-то NGate, а где-то достаточно (или заказчику по карману) только Mikrotik без гостов. У меня нет стандартных решений для всех, я индивидуально проектирую для каждого заказчика.